当前位置: 首页>>知识干货

苏州大多数小企业在遭到黑客攻击或出现重大安全漏洞之前,都将安全视为关键的IT因素。这是可以理解的——安全成本高昂,中小企业没有大公司的无限预算。这并不意味着您应该在业务起步阶段吝啬数据保护。另一种选择是数据丢失、公关不佳和客户信任度降低。如果您的公司还没有安全策略,安全策略可以改善客户隐私并保护其免受网络威胁。

发布日期:2022-12-24 浏览次数: 963 作者:威格乐电话邀约外包

内容

审核您的网络执行风险评估身份验证和授权添加BYOD策略灾难恢复计划培训员工“kdsp”大多数小企业在被黑客入侵或发生重大安全漏洞之前,都将安全视为关键的IT因素。这是可以理解的——安全成本高昂,中小企业没有大公司的无限预算。这并不意味着您应该在业务起步阶段吝啬数据保护。另一种选择是数据丢失、公关不佳和客户信任度降低。如果您的公司还没有安全策略,安全策略可以改善客户隐私并保护其免受网络威胁。

审核网络

在评估风险之前,您需要审核网络。您需要对每台机器、用户帐户、移动设备、路由器和服务器进行核算。每一项与IT相关的资产都应进行核算。不要认为任何独立设备都是“防黑客”的。如果它通过无线或有线连接连接到网络,那么它应该是您审核的一部分。

您的审核还应确定在每个设备上运行的软件,包括操作系统、第三方应用程序以及在后台运行的任何工具。对于路由器和交换机,请注意设备的固件。旧固件有时存在安全风险。这对于充当互联网和本地网络之间防火墙的路由器来说尤为重要。

执行风险评估

风险评估是一个耗时长的过程,需要专家参与。如果你不是安全专家,你应该雇佣一个人。这并不意味着您不能作为非技术人员进行初始风险评估,但您必须了解网络基础知识。您应该了解网络在哪里易受攻击,哪些系统可能被用作恶意软件载体。

每个连接到网络的设备都有风险。移动设备的风险更大,因为它们通常是个人设备,并且没有任何恶意软件监视器在后台运行。黑客实际上针对的是移动设备,而不是本地桌面,因为桌面上有公司防病毒软件,可以阻止大多数攻击。

您的风险评估应该包括网络上的几个项目。首先,包括每台机器的操作系统列表以及与每台机器相关的最新补丁。识别所有未安装防病毒软件的计算机。您还需要包括风险点,如可公开访问的无线路由器、第三方云应用程序以及这些系统的任何未应用更新。对于您的网络硬件,列出路由器和交换机上的旧固件列表。如果您有远程员工在家工作,请注意用户存储文件的共享网络驱动器、VPN接入点、带入办公室的个人笔记本电脑以及通往网络关键区域的任何其他路径。

身份验证和授权

您的策略应该从识别每个用户的角色开始。您的用户被分组为授权角色。例如,高管有一个角色,客户服务代表有另一个角色。这两个角色都需要不同级别的访问特定文件和文件夹。您将用户分组为这些角色,并为他们提供对网络区域的特定安全访问权限。

身份验证要求用户登录才能访问网络的任何区域。身份验证凭据包括用户名和密码,您的安全策略应包括登录标准以及密码复杂性和长度策略。

添加自带设备策略

自带设备(BYOD)是一项新标准,为员工提供了灵活性。员工可以在您的网络上使用个人设备,包括台式机、平板电脑和智能手机。他们可以通过VPN或使用现场无线热点进行连接。无论您给予员工何种类型的访问权限,都应该受到监控。

如果您提供了这些设备,您就可以更好地控制应用程序。然而,大多数公司允许个人设备远程连接。您应该小心地将无线接入与关键应用程序分开,特别是如果您为客人提供了公共Wi-Fi。在无线连接上设置密码,并运行入侵检测软件来监控连接。市场上一款名为MDM(移动设备管理)的新软件会扫描网络中的任何移动设备并识别它们。使用此软件可识别任何恶意或未经授权的设备连接。

灾难恢复计划

虽然灾难恢复计划通常是单独的文档,但它们仍然是总体安全策略的一部分。当黑客侵入系统时,灾难恢复生效。灾难恢复计划包括备份、备份的安全性以及这些文件的物理位置。例如,如果龙卷风对物理财产造成洪水,该怎么办?您的灾难恢复计划应包括异地存储的备份。

当您使用灾难恢复计划时,这些计划应包括您的数据库、数据库文件、用于生产的软件、关键用户和系统文件,以及一些安全专家甚至可以拍摄服务器和工作站的完整图像。图像是硬盘驱动器的快照。硬件崩溃后,将映像安装到新机器上,用户或服务器将在几分钟内备份。硬盘映像为系统管理员节省了数小时的时间,他们需要在崩溃后重新安装软件。

培训员工

安全是一项集体努力。所有员工、经理、高管和所有者都应遵守安全政策。许多人没有意识到,在系统上安装随机软件会给企业带来安全风险。因此,公司员工必须接受培训。对员工进行最佳实践培训,教育他们黑客的工作方式,并帮助他们理解为什么移动设备会对系统造成威胁。

安全策略需要几周才能完成。大多数情况下,风险评估和审计都是单独进行的。一旦您评估了风险,您会对网络上存在的漏洞数量感到惊讶。在商业生命周期早期制定的安全政策降低了未来发生重大、可避免的网络威胁的可能性。

照片由Steve Wilson在Flickr“kdsbe”上提供

客户服务
live chat